GitHub je poročal o incidentu, v katerem je bil zasebni ključ RSA, ki se uporablja kot gostiteljski ključ pri dostopu do repozitorijev GitHub prek SSH, pomotoma objavljen v javno dostopnem repozitoriju. Puščanje je vplivalo samo na ključ RSA; ključa SSH gostitelja ECDSA in Ed25519 še naprej ostajata varna. Javno dostopen gostiteljski ključ SSH ne dovoljuje dostopa do infrastrukture GitHub ali uporabniških podatkov, lahko pa se uporablja za prestrezanje operacij Git, izvedenih prek SSH.
Da bi odpravili možnost prestrezanja sej SSH za GitHub, če ključ RSA pade v roke napadalcem, je GitHub sprožil postopek zamenjave ključa. Na uporabniški strani je potrebno izbrisati stari javni ključ GitHub (ssh-keygen -R github.com) ali ročno zamenjati ključ v datoteki ~/.ssh/known_hosts, kar lahko pokvari samodejno izvajane skripte.
Vir: opennet.ru